FUKLabRAG構成の把握
検索対象文書、利用者権限、データ投入経路、ベクトルDB、メタデータ設計を確認します。
RAGセキュリティ診断
社内文書検索、ナレッジBot向けのAIセキュリティ支援
RAGセキュリティ診断
RAG構成のAIアプリケーションに対して、ユーザー権限を超えた文書参照、検索結果の混入、引用による情報漏えい、メタデータ設計不備などを確認します。社内ナレッジBotや文書検索AIに適した診断です。
| 項目 | 内容 |
|---|---|
| 対象顧客 | 社内文書検索、ナレッジBot |
| 内容 | 権限外文書参照、メタデータ不備、引用漏えい、ベクトル検索境界 |
| 成果物 | RAGリスクレポート、ACL改善案、テストケース |
| 価格目安 | 60〜120万円 |
サービス別の確認イメージ
RAGの権限境界と検索結果の混入を確認
RAGでは、文書そのものだけでなく、メタデータ、ACL、検索フィルタ、引用表示が一体で機能しているかが重要です。
利用者権限
検索フィルタ
ベクトルDB
権限外混入
ACL改善案
このような課題に対応します
- ユーザー権限を超えた文書参照が不安
部署、役職、プロジェクト、顧客単位などのアクセス制御が、RAGの検索結果と回答生成に正しく反映されているかを確認します。複数権限のテストアカウントを用いて、権限外文書の検索・引用・要約が発生しないかを検証します。 - 検索結果や引用に機密情報が混入しないか確認したい
ベクトル検索、キーワード検索、ハイブリッド検索、引用表示、要約出力において、意図しない文書やメタデータが回答に混入しないかを確認します。特に、社内限定情報、顧客情報、個人情報、契約情報が扱われる場合の漏えい条件を整理します。 - メタデータとACL設計の妥当性を第三者視点で見たい
文書分類、メタデータ付与、検索フィルタ、ACL連携、データ投入・削除フローを確認します。RAGの回答品質だけでなく、アクセス制御・監査・運用変更に耐えられる設計になっているかを評価します。
対象となるシステム・構成
- 社内文書検索AI
- ナレッジBot
- FAQ Bot
- 社内規程検索
- 顧客情報・契約情報を含むRAG
- 部署別・権限別に文書を出し分けるRAG
- ベクトルDBを利用したAIアプリ
主な確認観点
- ACLとRAG検索結果の整合性
- メタデータ設計
- 文書分類
- 検索フィルタ
- 引用表示
- 回答生成時の権限外情報混入
- 文書投入・更新・削除フロー
- 間接Prompt Injectionを含む外部文書リスク
- 運用ルールと再テスト観点
対象外・別見積となる範囲
- 全文書の棚卸し
- DLP製品導入支援
- 文書管理システム全体の移行支援
- ベクトルDBの性能チューニング
- クラウド全体の設定診断
ご準備いただく情報
- RAG構成概要
- 検索対象文書の範囲
- 権限ロールとACL設計
- 権限別のテストアカウント
- メタデータと検索フィルタの仕様
- 文書投入・更新・削除フロー
- 検証用のサンプル文書
相談タイミング
- 社内文書検索AIの本番化前
- 権限設計を変更する時
- 検索対象文書を拡大する時
- 部署別・顧客別の出し分けを追加する時
- 監査や社内説明の前
成果物
| 項目 | 内容 |
|---|---|
| 報告書 | RAGリスクレポート、ACL改善案、テストケースを、管理者向けサマリーと技術詳細に分けて提示します。 |
| 再現手順 | 開発チームが確認できる入力例、前提条件、観測結果を整理します。 |
| 改善優先度 | 技術的リスク、業務影響、対応難易度を踏まえて改善順序を示します。 |
進め方
権限境界の整理
ユーザー、部署、文書分類、ACL、検索フィルタの設計を確認し、権限外参照が起き得る箇所を洗い出します。
テストケース設計
権限外文書参照、検索結果の混入、引用漏えい、メタデータ不足、間接Prompt Injectionの観点でテストケースを作成します。
RAG診断実施
複数権限のテストアカウントを用いて、検索結果、回答、引用に意図しない情報が出ないか確認します。
漏えい条件の評価
どの条件で情報が混入・露出するかを整理し、業務影響、再現性、修正優先度を評価します。
改善案の提示
ACL、メタデータ、検索フィルタ、引用制御、運用ルールの改善案と再テスト観点を提示します。
料金目安
60〜120万円
料金は対象システムの規模、機能数、連携先、診断範囲、報告会の有無によって変動します。正式なお見積りはヒアリング後にご提示します。
診断情報の取扱いについて
診断業務で取り扱う設計資料、プロンプト、認証情報、RAG関連データ等は秘密情報として管理します。これらの情報は、原則として外部の生成AIサービスに入力しません。必要がある場合は、事前に利用目的と取扱い範囲をご説明し、お客様の承諾を得たうえで利用します。
RAGセキュリティ診断を相談する
RAGの権限設計が複雑な場合も、初回相談で確認対象の文書範囲とテスト権限を整理できます。
対象範囲、連携先、報告会の有無を確認し、正式なお見積りをご提示します。